OPNsense è un sistema operativo di firewalling basato su HardenedBSD, nasce come fork di pfSense CE il quale, a sua volta, è un fork di m0n0wall®.
OPNsense è ora un pacchetto che puOPNsense è una piattaforma di routing e firewall basata su FreeBSD open source, facile da usare e facile da costruire.
OPNsense include la maggior parte delle funzionalità disponibili nei costosi firewall commerciali e, in molti casi, anche di più. Porta il ricco set di funzionalità delle offerte commerciali con i vantaggi di fonti aperte e verificabili. OPNsense è nato come fork di pfSense® e m0n0wall nel 2014, con la sua prima versione ufficiale nel gennaio 2015. Il progetto si è evoluto molto rapidamente pur mantenendo aspetti familiari sia di m0n0wall che di pfSense. Una forte attenzione alla sicurezza e alla qualità del codice guida lo sviluppo del progetto.
OPNsense offre aggiornamenti di sicurezza settimanali con piccoli incrementi per reagire alle nuove minacce emergenti all’interno di un momento alla moda. Un ciclo di rilascio fisso di 2 versioni principali ogni anno offre alle aziende l’opportunità di pianificare gli aggiornamenti in anticipo. Per ogni versione principale viene messa in atto una tabella di marcia per guidare lo sviluppo e stabilire obiettivi chiari.ò essere installato sulla build HardenedBSD (si può letteralmente fare pkg rimuovere opnsense e rimanere con un sistema di base HardenedBSD quasi standard).
PREREQUISITI
Server Fisco o Virtuale con 1 o più schede di rete
DHCP Server attivo sulla LAN dove installeremo il server
DIMENSIONAMENTO HARDWARE
Se desideri eseguire solo i servizi router/firewall di base, quasi tutto l’hardware di fascia bassa sarà sufficiente, soprattutto se prevedi di avere solo una rete da 1 Gbps. È possibile utilizzare un sistema dual/quad core di base con una quantità ridotta di RAM (1-4 GB).
Se prevedi di eseguire servizi ad alta intensità di risorse, avrai bisogno di una CPU più veloce e probabilmente di almeno 8 GB di RAM (puoi eseguire sia Zenarmor con Elasticsearch che Suricata con 8 GB di RAM). Se ti piace armeggiare, potresti voler acquistare hardware che abbia più risorse di quelle di cui hai attualmente bisogno in modo da poterlo avere a disposizione in seguito quando sarai pronto.
Se prevedi di avere una rete interna da 10 Gbps, potresti aver bisogno di una CPU più veloce se stai eseguendo il routing inter-VLAN poiché il routing Layer 3 viene eseguito tramite software anziché hardware come gli switch di rete Layer 3, quindi non è altrettanto efficiente con il routing dei pacchetti .
Se prevedi di configurare un server VPN per accedere alla tua rete domestica o utilizzare OPNsense come client per un provider VPN esterno e disponi di una grande quantità di larghezza di banda, vorrai una CPU che supporti la crittografia AES-NI per ridurre il carico su la CPU. In caso contrario, il collo di bottiglia della CPU rallenterà il throughput della rete.
DOWNLOAD DI OPNSENSE
Prima di tutto procedere con il download dell’immagine corretta di OPNsense al seguente link nella sezione Download
Selezionare quindi il tipo di Architettura, la tipologia di imamgine (nel mio caso seleziono DVD cosi da avere l’immagine ISO) e la location da dove scaricare la ISO
Quindi cliccare su DOWNLOAD
ATTENZIONE: il file scaricato ha il formato .bz2 (OPNsense-22.7-OpenSSL-dvd-amd64.iso.bz2). Quindi per ottenere il file .ISO scompattarlo con un tool come 7zip.
NOTA BENE: durante la stesura di questo tutorial la versione di OPNsense scaricabile è la 22.7
INSTALLAZIONE DI OPNSENSE
Collegare la ISO appena scaricata quindi avviare il server per iniziare l’installazione
Lasciare tutto invariato quindi far partire l’installazione
Quando l’installazione arriva alla schermata sovrastante premere un tasto qualsiasi per assegnare manualmente le interfacce.
Si hanno solo 5 secondi per premere qualsiasi tasto. Il motivo per cui dovresti assegnare manualmente le interfacce è che spesso sceglie le interfacce errate che si desiderano utilizzare come interfaccia WAN o LAN.
L’assegnazione automatica dell’interfaccia sceglierà la prima interfaccia che incontra nell’hardware, che potrebbe sempre non riflettere la sua posizione fisica sul dispositivo router/firewall.
Di seguito le risposte alle domande nel mio caso:
Do you want to configure LAGGs now? NO
Do you want to configure VLANs now? NO
Enter the WAN interface name or ‘a’ for auto-detection: vmx0
Enter the LAN interface name or ‘a’ for auto-detection: vmx1
Enter the Optional interface 1 name or ‘a’ for auto-detection: Premere Invio
Premere Y quindi Invio
Ora dovresti vedere entrambe le tue interfacce elencate insieme ai loro indirizzi IP.
Per impostazione predefinita, all’interfaccia LAN verrà assegnata la rete 192.168.1.1/24.
L’interfaccia WAN utilizzerà DHCPv4/DHCPv6 per impostazione predefinita e potresti vedere i tuoi indirizzi IPv4/IPv6 pubblici assegnati dal tuo DHCP.
Come è possibile notare l’indirizzo IP WAN nel mio screenshot sopra è un indirizzo di rete interno anziché un indirizzo IP pubblico.
Il motivo è perchè ho la mia macchina virtuale connessa alla mia rete LAN, quindi è stato assegnato automaticamente un indirizzo IP nella mia rete LAN tramite DHCP Server.
Inserire le seguenti credenziali
login: installer
Password: opnsense
Selezionare la Tastiera Italiana come mostrato nell’immagine sovrastante
Selezionare Continue with it.kbd keymap
Utilizzare il filesystem di Default e quindi UFS quindi OK pder confermare
Selezionare il disco dove installare OPNsense quindi OK
Selezionare YES per procedere con la formattazione del disco
Attendere il termine dell’installazione
Selezionare l’opzione Change root Password quindi premere OK
Inserire la password quindi premere OK
Inserire nuovamente la password quindi premere OK
Selezionare l’opzione Complete Install quindi premere OK
Attendere il riavvio del server
ATTENZIONE: sganciare la ISO di installazione o rimuovere la chiavetta USB dal server
Aprire un browser e richiamare il link
https://IP_ADDRESS_LAN
Quindi inserire le credenziali di root modificate precedenetmente
Se è andato tutto a buon fine dovremmo accedere alla Dashboard di OPNSense come mostrato nell’immagine sovrastante.
0 commenti